Information und Bildungsarbeit von und für die SAP-Community

Datenschutz nur mit Datensicherheit

Mit der neuen EU-DSGVO ist Datenschutz zur Chefsache geworden. Verstöße gegen diese Verordnung werden ab Mai 2018 nicht mehr mit maximal 300.000 Euro, sondern mit bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes geahndet, je nachdem welcher Betrag höher liegt. Das lässt die CFOs und CIOs aufhorchen.
Holger Hügel, Secude
31. März 2017
It-Security
avatar

Nicht zuletzt wegen der neuen EU-Regeln waren die Vorträge zum Thema Datenschutz bei den diesjährigen DSAG-Technologietagen stark besucht – speziell diejenigen zu Funktionen in SAP, die den Datenschutz gewährleisten können.

Fazit: SAP ist für den Datenschutz gut aufgestellt, selbst wenn man für einige Funktionen SAP GRC einsetzen müsste.

Allerdings ist Datenschutz wenig wert, wenn die Datensicherheit nicht gewährleistet wird. Hier gilt es, einige offene Hintertüren zu schließen. Im SAP-System selbst sind die Daten durch das Berechtigungskonzept gut geschützt.

Durch Datenexporte, Druckaufträge und E-Mails aus SAP verlassen SAP-Daten jedoch den „schützenden Hafen“. Denn in SAP kann man entweder alles herunterladen, auf das man Zugriff hat, oder gar keine Daten exportieren, wenn diese Berechtigung fehlt.

Im Zeitalter der „Open Economy“, in der Unternehmen immer stärker mit Partnern, externen und freien Mitarbeitern zusammenarbeiten, kann man Exporte nicht verbieten – sonst stehen wichtige Prozesse still.

Nötig ist daher die Kontrolle darüber, wer welche Daten zu welchem Zweck außerhalb des SAP-Systems verarbeiten darf. Auch der maschinelle Datenaustausch zwischen Applikationen und Systemen, etwa mittels RFC oder Webservice-Schnittstellen, schwächt den Datenschutz.

Dass die Zugriffs- und Weitergabekontrolle mit den Daten ins Zielsystem wandert, ist fast unmöglich zu gewährleisten. Denn verschiedene Systeme haben in der Regel auch verschiedene Berechtigungskonzepte.

Die fortschreitende Digitalisierung der letzten Jahre hat zu zahlreichen kleineren SAP-fremden Satellitenanwendungen rund um das SAP ERP geführt, die sehr intensiv Daten mit dem zentralen SAP austauschen. Mit dem Internet of Things (IoT) wird der Datenverkehr noch intensiver und die Datenendpunkte werden noch zahlreicher.

Wer also in den nächsten Monaten über Datenschutz nachdenkt, sollte unbedingt entsprechende Voraussetzungen schaffen und in Datensicherheit investieren. Es ist schwer, alle Endpunkte, die Daten generieren und konsumieren, sowie alle Kanäle, die Daten transportieren, zu sichern.

Angreifer werden sich stets die schwächste Stelle suchen und aufgrund der starken Vernetzung der Systeme schnell Zugriff auf sensible oder geschäftskritische Daten bekommen.

Daher ist es ein intelligenter und zukunfts­orientierter Ansatz, die Daten selbst zu schützen. Umsetzen lässt sich dies durch Klassifizierung der Informationen bei der Entstehung als Basis für eine granulare Steuerung der Downloads.

So verlassen nur die Daten das Quellsystem, die tatsächlich in den Zielsystemen benötigt werden. Voraussetzung ist, dass das Zielsystem auch den Datenschutz gewährleisten kann.

Wichtig ist dabei eine tiefe Integration der Klassifizierungslösung in SAP, damit dieser Vorgang automatisiert umgesetzt werden kann. Manuelle Klassifizierung verlangsamt Prozesse und wird im Berufsalltag daher häufig nicht konsequent umgesetzt.

Außerdem lässt sich bereits heute das SAP-Berechtigungskonzept mit DRM-Technologien wie RMS von Microsoft auch auf Datenexporte erweitern. Anwender können damit steuern, wer auf das verschlüsselte Dokument zugreifen kann und welche Nutzungsmöglichkeiten (Lesen, Schreiben, Drucken etc.) zulässig sind.

Betrachtet man die Welt der Datenexporte und -Verarbeitung durch Mitarbeiter, die traditionell das größte Risiko für die Datensicherheit darstellen, gibt es heute bereits sehr gute Lösungen, um die Sicherheit auch für neue Com­pliance-Vorgaben zu gewährleisten.

Aktuell arbeiten Experten daher bereits an der nächsten Herausforderung: die Sicherung der Daten, die im Hintergrund automatisiert zwischen Applikationen transferiert werden.

Denn diese „Machine-­to-Machine“-Kommunikation wird in Zukunft noch stärker zunehmen und die Zugriffskontrolle ist hier noch komplexer.

CI-SECUDE

avatar
Holger Hügel, Secude

Holger Hügel ist Vice President Products and Sercvices bei Secude


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.